情報セキュリティマネジメント試験
の初回合格を目指して、
「組織における内部不正防止ガイドライン」
を読んでゆきましょう。
■ アーカイブ
p.6 2-1. 内部不正防止の基本原則
p.9 2-4. 内部不正対策の体制
p.12 3-1. 用語
p.14 3-2. 関連する法律
p.19 4-1. 基本方針(1)
p.22 4-1. 基本方針(2)
p.24 4-2. 資産管理(1)
p.24 4-2. 資産管理(2)
p.32 4-3. 物理的管理
p.38 4-4. 技術・運用管理(1)
p.42 4-4. 技術・運用管理(2)
p.46 4-5. 証拠確保(1)
p.48 4-5. 証拠確保(2)
新たな section
4-6.人的管理
に入ってゆきます。この section の内容は
序章(p.16)にもありましたが、
リスクの容認不可
つまり、なぁなぁにしてはいけない内容に
なっています。
もっと言えば、ここでのリスクを回避、
最悪でも低減するための対策が、
求められる訳ですから、
重要度が高く
それゆえ、初回の試験では
狙われる
部分になるはずです。
ただ、重要度が高いというのは、
難易度が高いとは違います。
言ってしまえば、実施して
当たり前のこと
なのです。けれど、現実の世界の
内部不正行為にしても、情報漏えい
事故にしても、それが
できてはいない
のです。できない理由はいろいろと
あるでしょうが、我々が学ぶのは
あるべき姿
です。実際の会社の状況をイメージして
理解するところと、理想的な姿を
イメージして理解するところを
混同しない
ようにするのが、この section の
ポイントです。
そんな視点で見てゆくと、例えば
(19) 教育による内部不正対策の周知徹底
のリスクの部分に記載されている
すべての役職員に教育を実施しないと・・・
のポイントは、
すべての
にあることに気づきますよね?
つまり、下っ端だけじゃなくて、
部長、役員、そして社長も
すべて
です。教育不足で認識が甘い社長が
パスワードが面倒で、
ウィルスソフトは重くなるし、
なんか自分宛に添付ファイル付きの
メールが知らない人から来てるし・・・
絶対に、なんかしでかしそうでしょ?
しかも、
ある
ある
ある!
なんです。
リスクの最後の部分にも、
偉い人がやらかしそうなケースが
わざわざ
書いてありますよね?
では、どうするのか。
これがガイドラインの対策の部分で
触れられていますが、ここだけは
まず
自分で、具体策を考えてみて下さい。
例えば、リスクの部分では、
教育をしないと・・・
とあるので、当然、
教育をしよう!( ̄▽ ̄)/
となりますよね?
でも、あなたはどんなことを
教育するのですか?
( ̄▽ ̄;)えっ!?
考えるのは具体策です。
なので、あと1段階掘り下げた
イメージが必要になります。
子供に「勉強しろ!」というだけじゃ
効果がないのは、きっと、あなたも
ご存じのはずです。
私も子供の頃、心の中で
なにをどこまでやるのさ!
と考えていたのを覚えています。
ちなみに一例として、対策欄には
教育
についての具体内容が Q&A12 を通じて
示されています。抜粋すると
① 自組織の不正行為の具体的事例の説明
② 重要情報の分類や管理方法の説明
③ 内部不正が発覚した際の懲戒処分の説明
④ 重要情報の管理対策の説明
⑤ 法令の説明
ですね。あなたが考えた対策は
すべて
網羅されていましたか?
私がイメージできたのは、①~③ のみで
答え(Q&A12)を見たら、
( ̄▽ ̄) あ~、確かに
⑤ も見たことあったわ!
と思いつきました。
④ に至っては、以前の勤務先の教育でも
説明を受けたことははありませんでした。
その
抜けていた部分
が、今日、あなたが
学んだこと
になります。
対策講座のお申込みは
専用フォーム から
【大阪】 ※ 画像クリックで詳細ページへ
【東京】 ※ 画像クリックで詳細ページへ
【大阪】 ※ 画像クリックで詳細ページへ
【論文添削サービス】
すでに、早い人は A判定論文を
4本書きあげています
※ 画像クリックで詳細ページへ
